О мероприятии
Воркшоп позволит специалистам-разработчикам, тестировщикам ПО уровня middle и выше, начинающим AppSec/Pentest-специалистам познакомиться с практиками тестирования безопасности Security Champions: тестированием безопасности веб-сервисов вручную и с использованием инструментов автоматизированного поиска уязвимостей (ZAP/Burp), настройками инструментов ZAP и Burp, типовыми атаками в тестировании, способами ускорения тестирования безопасности микросервисов и интеграции тестирования в CI/CD пайплайнах для масштабирования перечисленных практик.
Программа
Многие IT-компании сегодня внедряют в работе практики безопасной разработки ПО, а в команды разработки — новую роль Security Champion. Однако, на деле сотрудники в этой роли часто остаются медиаторами между разработкой и безопасностью: за безопасность по-прежнему отвечает небольшая команда ИБ.
Повысить ценность роли Security Champion помогут навыки автоматизации тестирования безопасности своих сервисов с помощью инструментов ZAP/Burp и скриптов автоматизации. Это разгрузит команду безопасности (AppSec) и позволит находить проблемы в приложениях на ранних этапах разработки.
В ходе воркшопа слушателям будет продемонстрирован процесс тестирования безопасности веб-сервисов руками Security Champions: будут даны практические знания в тестировании сервисов с помощью различных инструментов, показаны настройки инструментов, способы автоматизации, ускорения тестирования безопасности микросервисов и интеграции тестирования в CI/CD пайплайнах.
- Dev-команды, имеющие Security Champion: специалисты уровня Middle и выше научатся смотреть на приложения глазами «безопасников» и начнут тестировать свои приложения на наличие уязвимостей
- QA, начинающие изучать безопасность: QA уровня Middle и выше посмотрят на процесс тестирования сервисов с точки зрения проверки безопасности и надежности
- Начинающие AppSec/Pentest специалисты: junior-специалистам будет полезна практика поиска уязвимостей инструментами и углубления своих знаний в сфере тестирования веб-сервисов
- Тема 1. Ручное тестирование веб-приложений. Рассмотрим тестирование веб-приложений и сервисов: вручную и с помощью утилит для облегчения процесса тестирования. Типовые атаки для тестирования и способы их валидации.
- Тема 2. Тестирование приложений с помощью ZAP. Ознакомимся на практике с opensourse-решением для тестирования веб-приложений и поиска уязвимостей. Рассмотрим основные функции и настройки программы, необходимые для тестирования веб-сервисов.
- Тема 3. Тестирование приложений в автоматизированном режиме. Углубимся в тему тестирования. Узнаем, что такое scope, context, session и как эти механизмы позволяют улучшить эффективность сканирования.
- Тема 4. Автоматизация тестирования. Разберем основные методы автоматизации сканирования уже известных приложений. Рассмотрим несколько разных способов автоматизации ZAP: daemoin + API, python code, Authomation framework.
- Умение читать специализированную документацию и техническую литературу на английском языке (можно со словарем)
- Иметь представление о взаимодействии компьютеров в сети, понимание работы веб-серверов и взаимодействия с браузерами
- Знание ОС семейства Linux, умение работать в терминале
- Базовое знание командной строки и python кода
- Знание состава HTTP пакетов (заголовки, тело, параметры)
- Умение вручную отправлять запросы на сервер с помощью утилит curl/wget
- Знания типовых уязвимостей веб-приложений (OWASP Top 10)
- Microsoft Teams
- Браузер Chrome или Mozilla Firefox
- Docker
- Python 3.9 или выше
- Zed Attack Proxy (ZAP)
- Burp Suite Community
- VPN-клиент OpenVPN
Для комфортного прохождения воркшопа и сохранения всех полученных материалов
- Не менее 8 ГБ DDR3 оперативной памяти
- Процессор не менее восьми ядер с частотой не менее 2.3 Ггц
- Жесткий диск SSD со свободным местом не менее 256 ГБ
- Поддержка аппаратной виртуализации (Intel VT-x, AMD-V)
- Дополнительный — второй монитор (Диагональ от 17 дюймов, разрешением от 1280×720p c частотой обновления от 60 Гц)
- Современная операционная система (Минимально: Windows 10 x64, Linux, MacOS 10.13.6)
- Доступ к тестовой инфраструктуре
- Методические рекомендации по организации тестирования веб-приложений и сервисов
- Скрипты автоматизации
На воркшопе участники узнают основные способы тестирования безопасности веб-сервисов: получат практические навыки выполнения эффективных тестов безопасности в ручном и автоматическом режиме, выполнения настроек инструментов Zed Attak Proxy и Burp Suite, научатся валидировать результаты сканирования и подтверждать найденные уязвимости, составлять тест-контексты и покрывать приложения релевантными тестами для улучшения эффективности и ускорения тестов, узнают способы масштабирования практик тестирования безопасности.
Нияз Кашапов
Application Security BP в Сбермаркет.
Эксперт по анализу защищенности мобильных и веб-приложений.
Также работал Application Security BP в Tinkoff и Application Security в Ak Bars Digital.
Ключевые компетенции:
- Анализ защищенности web-приложений
- Анализ защищенности мобильных приложений
- Безопасная архитектура
- Организация процессов безопасной разработки (SSDLC)
- Автоматизация тестирования безопасности приложений
Опыт по преподаваемым темам более 6 лет.
Нияз регулярно выступает на отраслевых конференциях по информационной безопасности.